Объясните что блокирует Firewall в PfSense (трафик от nginx)?

Question

[Артем Енин]

Понемногу начал ковырять PfSense, там настроил, там поднастроил. Добрался до логов фаервола. Там шквал блокированных данных с 92.242.43.211:257 на мой WAN(причем порты, на которые ломятся, варьируются от приблизительно 20000 до 50000). Прошел по адресу источника, там страница с надписью, что некий nginx установлен и работает успешно. Поясните юниору куда боятся и стоит ли?

Answer 1

[blackbeard]

У него есть встроенный pfBlocker, скорее всего он и работает.

Comments

[Артем Енин]

То есть, в pfsense есть pfbloker, чья работа заключается в блокировке брутфорса?

[blackbeard]

Артем Енин, да, в том числе от ддос, ботов и пр.

[Артем Енин]

blackbeard, спасибо, установлю!)

Answer 2

[Максим Гришин]

Кто-то взломал чей-то веб-хостинг и через него брутит вашу сеть. Стандартная (теперь) ситуация. Настройте блокировку атакующих узлов по таким логам, и будет вам (временное) щщастье.

Comments

[Артем Енин]

так эти данные и так блокируются, или что то еще надо блокировать? Не подскажите, есть ли действенный способ точно узнать брутят мою сеть или нет?

[Максим Гришин]

Артем Енин, на основании нескольких подряд событий заблокированного трафика можно включить временную блокировку всего трафика от этого узла, чтобы даже в логи ничего не попадало (ну или пусть количество попыток соединения после блокировки попадает, что будет основанием по результатам анализа блокировку продлить), для программных файрволлов решением такого рода является fail2ban (советую почитать принцип его работы), для pfsense может найтись или модуль или функция с тем же назначением.
А узнавать не надо с такими-то логами, брутят.
Вот что ещё делать, помимо настройки триггера на подобный брут и действий по нему - вопрос более серьезный, здесь эксперт по файрволлам нужен, а не любитель :)

[Артем Енин]

Спасибо за развернутый ответ! Сейчас в течении дня помониторил статистику - пропал данный адрес из поля зрения. По поводу аналога fail2ban, узнал про pfblocker, на досуге установлю, настрою. А в общем, глядя на статистику запретов файерволла, любопытно узнать откуда идет отбрасываемый трафик, т.к. палитра IP адресов разнообразна (переходить по каждому адресу напрямую, думаю, не лучшая затея).

[Максим Гришин]

Артем Енин, по поводу поиска источников трафика - в принципе, туда действительно лучше не ходить, тем более, что трафик в среднем посылает нежелательное для владельца оборудования ПО. Разнообразна потому, что ботнетам неважно, где находится уязвимый узел, на котором запущен экземпляр, они все равно слушают команды из одного (плюс-минус) центра и действуют однообразно. Узнать, где это, позволяет 2ip.ru/whois, или любой другой whois-сервис. Если внезапно удастся сопоставить DNS-имя с айпишником, можно владельцу сайта на контактное мыло заслать информацию, что мол на вашем сайте вирус (в случае с веб-хостингом можно заслать не тому, но всегда можно послать прямо хостеру, что с его IP-адресов идет атака, и пусть он уже разбирается, какая зараза на его мощностях снифает интернет).

[Артем Енин]

Максим Гришин, Сколько ценной информации и причем очевидной и сам как не смог додумать:)) Спасибо, пошелестю на 2ip, ради интереса, вдруг и dns сопоставится ко всему прочему)

[Артем Енин]

Максим Гришин, Ёлы...Там и Иранские и Китайские адреса провайдеров блокируются...Приичем source - иран, китай, хостинги их всякие, destination- мой web. Что они в моей сетке забыли? Или vpn пытаются они затунеллить включая в тунель мой роутер? Понимаю, вопрос уже уходит от темы и ему место не здесь, но все же, это норма? Я растерян

[Максим Гришин]

Артем Енин, а вдруг у вас есть что-то вкусненькое? :) Всего лишь. Подобные сканеры сканируют весь пул IPv4, и только вопрос времени, когда они наткнутся на вас (или меня, например).

[Артем Енин]

Максим Гришин, Тобишь это нормальный вид лога файервола, где источник - рандомные адреса, а назначение - мой gw? Просто не совсем понятна логика всего этого. Я выходил в интернет с этим вопросом и толкового ничего, все в общих чертах про фаерволы, а детально - ссылка первая в гугле на эту тему:)...

[Максим Гришин]

Артем Енин, вообще да. Это нормально, что тебя сканируют и не пролезают, особенно если файрволл с белым адресом.